- Nomad-hændelsen er årets tredjestørste cryptocurrency-hack, bag Wormhole og Ronin
- Omkring 41 adresser hentede cryptocurrency fra protokollen
Token bridge Nomad har lidt en "vanvidd fri-for-alle", efter at angribere raidede protokollen for mere end $190 millioner i kryptovaluta.
Nomad, der markedsførte sig selv som en "sikkerhedsførst" platform til at sende ERC-20-tokens mellem kompatible blockchains, bekræftede razziaen i et tirsdag morgen tweet.
Hændelsen adskiller sig fra andre storstilede hacks til at lamme token-broer i år. Token-broer gør det muligt for kryptobrugere at portere digitale aktiver over netværk ved først at låse dem inde i en smart kontrakt.
Broen udsteder derefter et afledt token, et "indpakket aktiv", på den anden side, med deres værdier understøttet af deres oprindelige indskud. Nomad understøtter Ethereum, Avalanche, Evmos og Moonbeam.
Februars Wormhole-hack så angribere udnytte buggy smart kontraktkode til at præge sig selv $320 millioner i Wrapped Ether uden at stille den nødvendige sikkerhed.
Axie Infinite Ronin-broangrebet, der blev afsløret i marts, involverede en månedslang phishing-kampagne for at erhverve private nøgler forbundet med dens multisig-pung, hvilket resulterede i omkring $625 millioner i krypto stjålet (begge hændelser vurderet på tidspunktet for angrebet).
Men Sam Sun, sikkerhedschef hos investeringsselskabet Paradigm for digitale aktiver, forklarede i en Twitter-tråd, at Nomads tyve ikke behøvede at vide noget om Ethereum-programmeringssproget Solidity for at klare sig med brugersikkerhed.
Rari Capital hacker vendte tilbage for at raide Nomad
Nomads udviklere havde ved et uheld skubbet en rutineopgradering, som fortalte protokollen at behandle enhver transaktion med standard root-hashen på "0x00", hvor normalt blockchain-netværk kræver en unik og specifik rod som bevis på, at transaktionen er gyldig.
Dette betød, at Nomad reelt ville godkende enhver transaktion, der blev indsendt til protokollen. Efter at en angriber indså og påbegyndte store ulovlige overførsler, kopierede andre brugere blot deres transaktionsscript og erstattede modtageradressen med deres egen, forklarede Victor Young, chefarkitekt hos interoperabilitetsnetværket Analog.
For Young er en vigtig fordel ved smarte kontraktplatforme, som dem der driver Nomad, at de er Turing-komplette systemer. De kan beregne "stort set alt, hvad en moderne digital computer kan gøre fra et matematisk synspunkt," sagde Young.
"Desværre introducerer dette utallige og ukendte angrebsvektorer, der åbner den smarte kontrakt for hacks," fortalte Young Blockworks. "Når du kombinerer dette med slappe udviklere, der ikke formår at implementere et robust sæt af testmekanismer, får du den latterlige nedsmeltning, som vi i øjeblikket er vidne til."
Kilde: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/